中国

多家医院中勒索病毒，

6446 个单位的应用在互联网上“裸奔”。

美国

2019年医院因数据泄露损失40亿美元，

4/5的安全漏洞是针对医院的。

2019年，医疗健康领域安全形势严峻，然而医院在安全方面的投入增加仍然十分有限，建设速度缓慢，人员配置严重不足。

迈向2020年，中国医疗健康机构又该如何应对？

HC3i结合中国医疗行业权威报告及美国医疗机构安全分析与发展建议，并特邀浙江省人民医院CIO郎义青、北京友谊医院CIO王力华、上海华山医院CIO黄虹、深信服医疗事业部副总经理资深行业安全专家钟一鸣、亚信安全医疗行业技术总监田剑辉、国联易安董事长门嘉平博士、和信创天高级咨询顾问程鹏等安全专家，分享他们对于当下国内安全形式的感知，并为医疗同仁分享2020年医疗机构网络安全建议。

一、中国健康医疗行业网络安全观测

中国信息通信研究院发布的《2019健康医疗行业网络安全观测报告》显示，健康医疗行业面临的网络安全风险等级呈现地域差异，主要威胁则集中表现在三大方面。

（1）风险级别分布

结果显示，"低风险"的省份有:山东省和四川省;"一般风险"的省份有:浙江省、江苏省、河南省、广东省、安徽省、河北省等;"较大风险"的省份有:北京市、上海市、重庆市、天津市、福建省、山西省、甘肃省、贵州省、黑龙江省、湖北省、湖南省、江西省、吉林省、辽宁省、陕西省、云南省、广西壮族自治区、新疆维吾尔自治区等;"重大风险"的省份有:青海省、海南省、内蒙古自治区、西藏自治区、宁夏回族自治区。

（2）风险集中表现

本次观测发现,健康医疗行业面临的网络安全风险主要集中表现在三大方面:

以勒索病毒为代表的僵木蠕等恶意程序风险。观测发现，存在僵木蠕等恶意程序的单位共计1029 家，其中受勒索病毒影响的单位共计136 家。可导致大范围的网络欺诈、信息泄露和医疗信息系统瘫痪等破坏性后果。

安全隐患带来的大数据泄露风险。观测发现，有6446 个单位的应用服务(如数据库服务、FTP 服务、打印机服务等)端口暴露在公共互联网，其中375 家单位的应用服务使用了极简易的密码。

网站篡改风险。观测发现，有4546 家单位网站存在安全隐患，其中261 家单位的网站已发现被恶意篡改的情况。

二、中国医院信息安全建设情况

CHIMA发布的《2018-2019年度中国医院信息化调查报告》显示，医院采取的网络安全措施采用率最高的是防火墙，相比上一年度，入侵监测措施采用率增加最为明显。

（1）医院采取的网络安全措施

从医院采取的网络安全措施的数据分析可见，采用率最高的是防火墙设备，比例达 89.99%，随后是 VPN/VLAN 划分、上网行为管理、网闸和入侵检测（IDS/IPS）， 这几种措施的比例分别为 63.07%、60.45%、48.40%和 46.83%。

（2）医院网络安全措施调查数据三年对比

将 2018-2019 年度医院网络安全措施调查数据与2017-2018 年度和 2015-2016 年度调查数据比较，可见域用户管理模式略有下降，VPN/VLN 划分和网络接入控制在三个年度中存在微小浮动，此外 2018-2019 年度的网络安全措施新增堡垒机和网闸两个选项，其余安全模式均有所上升。

（3）医院实施等级保护情况

从医院实施等级保护情况来看，在 839 家参与本次调查的医院中 43.95%的医院通过了等级保护测评，有实施等保工作规划的医院所占比例为 29.18%，无实施等保工作规划的医院所占比例为 26.87%。

三、美国医院网络安全的惨痛教训

每5个安全漏洞中，有将近4个是针对医院的。

美国医院管理者们在很大程度上达成一致--要战胜数据泄露太难了！这只会变得越来越具有挑战性。这对医疗健康行业的财务状况而言是个坏消息，因为数据泄露预计到年底将使美国医疗保健行业损失40亿美元。

然而，到2020年的代价可能更高。

（1）面对黑客，医院太脆弱了...

在一项新的《 Black Book Market Research 》调查中，96%的IT专业人员认为：黑客的发展速度远超医疗机构，使提供商在应对漏洞方面处于劣势。

在2019年迄今为止，医疗保健提供商仍然是网络安全漏洞爆发最大热门，占据全部网络安全漏洞近五分之四的比例。事实上，对健康保险公司的成功攻击年复一年，而使用更先进的信息安全保护解决方案的计划每年变化不大。受访者称，超过一半的供应商违规行为是由外部黑客攻击造成的。

（2）医院网络安全的三大特征：火、弱、穷

自2016年第三季度以来，超过93％的医疗保健组织经历了数据泄露，而57％的医疗保健组织在同一时段经历了5次以上的数据泄露。自2015年以来，有3亿多条医疗记录被盗，影响到10%医疗保健消费者。

在黑客面前医疗保健机构显得不堪一击。无论是来自犯罪分子还是国家支持的黑客成功频频在医疗保健领域得逞，并且呈现出攻击频次急剧上升趋势，充分表现出医疗保健企业在面对网络攻击时的脆弱性，及其对于黑客巨大的吸引力。尽管如此，医疗保健机构仍然我行我素，极易因持续违规受影响。

更加严重的是，预算拮据阻碍老旧软件和设备的更新换代，使医疗保健机构无力应对新形势下的网络安全攻击。然而，调查发现，医院和卫生系统对于IT、安全这类非盈利部分的投资越来越“抠门”。90％医院代表称，自2016年以来IT安全预算一直保持水平。作为医院IT预算的一部分，网络安全已增加到2020日历年年度IT总支出的6％。然而，小组报告说，实际分配的网络安全费用有所减少，到2020年只有不到1％的IT预算用于网络安全。

（3）还有这些数据：6%少数派安全员 VS. 100000美元广告费

84％医院没有专职安全主管，然而这似乎并不影响运营。未能成功招聘到合格的医疗保健首席信息安全官怎么办？21％的医疗机构选择将安全外包给合作伙伴和顾问，或选择安全即服务项目作为一项权宜之计。

21％医院报告说有专门的安全主管，尽管只有6％指定了专人作为CISO（Chief information security officer，首席信息安全官）。10人以上的临床医生集团中，只有1.5％有专门的CISO。

受访医院在2019年实际发生数据泄露的成本，估计平均每条记录为423美元。

与此同时，在过去18个月中，由于违规有58位医疗机构负责人花费了51,000至100,000美元的预算外营销费用，以消除由于数据泄露和盗窃给医院品牌带来的负面影响。不过，即便如此仍然没有医院领导称要加大2020年安全预算资金，以减少患者隐私或记录泄露带来的不良后果。

四、2020中国医院网络安全自救指南

针对近日发布的《各医院请注意：勒索病毒又来了，注意做好网络安全防护！》一文，不少网友反馈这类频繁的病毒攻击现象已经常态化。面对严峻的的网络安全形势，医院信息人可以松懈吗？

答案是：不能。

《中华人民共和国网络安全法》第五十九条规定：用户单位不做等级保护测评，用户单位将被罚款1万-100万；主管人员将被罚款5000-100000。

网络运营者不履行义务的：由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行义务的：由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

一边是日益猖獗的安全威胁，一边是严格的法律监管，医院该如何加强安全建设，以提高应对黑客攻击和各类安全事件的能力呢？下面这些行业专家给出了他们的做法和建议。

（1）浙江省人民医院：不要存在侥幸心理，医院的数据是关不住的！

“医院信息化建设、互联网医院或远程医疗，根本是数据安全问题。”郎义青主任介绍说，无论是从浙江省人民医院自身，还是正在建设的互联网医院来看，要全面应对信息安全挑战，必须从数据着手。

数据泄密（未审计）  医院往往安全建设薄弱或滞后，在“外网”堆彻安全设备（防火墙、网闸等），强调与内网隔离。然而“云服务”自然而然地向院外开放了一道门，大多数医院根本不清楚数据到底有没有被非法访问，并且缺乏审计和自动阻止非法访问者的能力。

病毒  勒索病毒仍是医院信息安全一大痛点。与互联网连接时大大增加了潜伏恶意程序“被激活”或潜入的可能性。

人员  医院缺乏安全人才储备。一是人员的能力可能不足以胜任这个岗位，要求知识面全并且懂得制订安全策略。虽然有安全设备，但安全策略可能存在不少漏洞，从而留下安全隐患；二是安全人员没有大量时间去做安全检查及分析日志以及对第三方人员的运维管理。

（2）北京友谊医院：安全责任到人，设立专门的网络安全员岗位

“保障信息安全，需要从日常工作着手，因此更需要有专人负责。”王力华主任介绍说，北京友谊医院最开始设置这个岗位，是因为三级等保要求有专职安全员，因此医院信息中心在人员招聘时专门招了一位安全管理员。她说，“当时我还想如果专职安全员岗位工作不多还可以做些别的。但实际工作中发现，这个岗位是最忙的。”

专职安全员岗位主要工作包括：

日常安全运维，如：安全设备的管理和维护，系统和安全日志审计，安全问题和事件处理等网络安全相关工作；

在信息系统规划和建设过程中，参与对系统设计方案的网络安全评估和网络安全方案设计，提出安全要求，保证系统应用和数据安全；

在信息系统运行维护过程中，通过漏洞扫描、渗透测试等方式组织对系统安全性的自查检查，并制定整改加固方案，评估漏洞修复和加固效果；

编写、修订网络安全相关管理文档，包括管理体系文件、应急保障体系文档，并负责监督落实情况；

负责准备和迎接各级网络安全相关单位对医院的安全检查，包括重保安全检查、年度安全检查等以及本单位信息系统等保测评相关工作。

迈向2020年，医院面临更加严峻的网络安全形势，应该尽早做好网络安全防范准备。

对此，王力华主任建议：医院信息中心要有足够的安全意识，信息安全工作要更加细致；要不断扩大信息安全知识面；要兼顾整体和局部，处理好信息安全各环节相互关系，处理好信息安全和业务应用之间的关系，把握安全和易用之间的平衡。

（3）上海华山医院：既要独善其身，也要兼济互联网医疗生态

“安全性和应用性永远是一对矛盾。”黄虹主任强调，医院在利用互联网技术开展便民惠民的同时，也要关注引入互联网合作伙伴可能带来的患者隐私保护和数据安全问题。

一旦某个互联网端口中了勒索病毒，医院也会中招。所以在整个医院互联网生态体系里，医院要充分考虑信息安全保护问题，因此医院在严格要求自身信息安全建设的同时，还需要对合作伙伴提出要求并设置相应的准入和退出机制。

目前，华山医院核心系统和互联网系统均已通过安全等保三级测试。“我们每年都会参加三级等保复查并积极整改，确保满足通过要求。”黄虹主任说。

同时，华山医院要求所有与该院互联的第三方机构必须通过三级等保，并要有效安全地管理各自入口和渠道，否则将被清退。

（4）美国医院应对策略：防不胜防？必须建立应急预案！

2017年，The Doctors Company首席信息官 Craig Musgrave曾表示，即使是一次小规模的攻击也可能使卫生IT部门损失约5,000美元。较大的一次攻击需要20个或更多个人的专业组织来进行清理，其费用可能高达100,000美元。

当遇到网络攻击时，医院该如何应对呢？

关键是要有一个面向对象的响应机制--黑客入侵应急预案。

防止黑客执行违规行为的控制非常重要，但是黑客防不胜防，无论如何都有可能会被攻击。因此实时监视资产并在必要时及时止损的方法，是 避免遭遇黑客攻击而造成灾难性财务损失的关键。

（5）深信服建议：意识形态安全关系医护管，要提高每个人的安全意识

近两年来，有多个省份因医疗专网中毒导致辖区内多家医院同时感染勒索病毒。也有多家医院因部署互联网相关业务而导致勒索病毒从外网入侵到内网。深信服近两年处理了不少于200家医院客户的勒索病毒应急响应工作，从侧面也反映了医院目前网络安全的严峻形势。

“安全建设的步伐远落后于业务发展的步伐。”钟一鸣先生认为，云大物移智等新建设改变了传统医疗业务模式，也引入了新的网络安全风险。然而，尽管各级卫健委、公安部门反复强调等级保护建设的重要性，但从CHIMA的报告来看，仍然有约29%的医院完全没有开展等级保护建设工作。

此外，医护人员的安全意识还远远不够。医院网络的使用主体人员还是医院的医生和护士，目前很多医院都有较严格的网络安全日常管理制度，但是在执行阶段很难保证医生和护士能严格执行，很大程度上是因为医生和护士群体没有意识到网络安全的重要性和可能带来的危害。深信服处置的医院网络安全事件中有多起是因为弱密码这种看似非常简单的原因而造成的，但这些案例也从侧面反映了越是简单的地方往往越容易疏忽，就越是危险。

（6）亚信安全支招：提高网络安全威胁发现、态势感知等能力是关键

《中国医院信息安全调查报告》显示，在所有参与调查的医院中，设置专门信息安全员的医院只占18.19%，而 2018年网络信息安全投入超过200万的医院只占32%，有15.75%的医院不清楚投入情况。

2020年，医院面临的网络安全形势更加复杂。提高网络安全威胁发现、态势感知等能力是对抗网络安全威胁的关键。

田剑辉先生建议：医院应从政策和生态层面形成全球网络威胁情报的共享，联动更多的产业力量，创造更开放更合作的生态，携手构建网络空间命运共同体。在网络安全技术层面，需要采集更多的威胁情报，打通芯片层、操作系统层等基础层、各网络安全产品与系统层、各应用层、运营商的核心网络层的信息，切实从技术层面上联动。

面对前沿技术的不断发展，以及网络安全问题的严峻现状，亚信安全在安全理念和技术上不断的突破创新，今年正式发布了感知+运维为一体的“亚信安全XDR全景”，通过检测、分析、响应和集中管控四大类产品，真正实现了“威胁可感知，安全可运维”核心目标，帮助客户建立自主可控的安全防护体系。此外，亚信安全也正在努力推动全球威胁情报共享生态的构建，并建立了网络安全态势感知中心，可针对不同领域的安全问题进行协作式、体系化、层次化全网态势感知。

（7）国联易安：既要防内鬼，也要保数据！医院可以这样做...

暗网市场中，医疗数据的价值是个人财务数据的20-50倍！在重大利益的驱动下，医院无疑成为了黑产动作的重要目标，然而医院的安全防御措施建设水平和技术能力还远远不够。

在医院发展云大物移智的今天，很多攻击手段已经向云和SaaS服务方面发展，暗网已经存在专业提供RaaS（勒索即服务）的服务模式，另外很多勒索攻击软件已经开源，网络攻击的门槛相当低。

国联易安董事长门嘉平博士认为“完整的黑色产业链条，暴利再加上虚拟货币的隐匿性，直接将医疗行业信息安全挑战推上新高，医院该如何提升方面水平呢？

我国的早期勒索病毒防治，一般可以概括为五个字：“补改关装规”。即：“打补丁”、“改口令”、“关端口”、“装软件”、“重规划”。但这些措施只是起到一定的积极作用，并不能真正去解决勒索病毒问题。在这里，国联易安提出下列建议：

采购堡垒机等网关类产品。合理规避内部人员的不合法操作，震慑和防范“内鬼”。

构建数据安全防御体系。针对数据安全的“最后一公里”启用数据加密、数据脱敏等安全防护措施，即使偶发数据泄漏事件也可降低泄漏数据的真实性，减少危害。

采购专业的勒索病毒防御系统，与传统的杀毒软件组成多层次的协同防护。

（8）和信创天：借助云桌面，医院“互联互通”与“安全管理”兼得

除上述问题外，程鹏先生认为目前中国医院网络安全建设存在的主要问题还包括：医院未建立定期开展风险评估的工作机制，网络安全培训与应急演练预案覆盖不全，医院数据中心应用服务器和前端终端电脑普遍存在高危漏洞，僵木蠕等问题。

针对这些问题，程鹏先生建议如下：

采用主流的网络安全建设方案的同时，采用云桌面等方式提高系统的抗风险能力，既不影响信息交互，还能提高医疗信息系统运行稳健性。例如，医疗行业安全事件大多通过终端触发和感染，而通过和信创天云桌面可轻松解决医疗信息终端的安全和运维管理等问题。

定期开展风险评估工作，评估系统抵御网络入侵的防护能力，发现潜在的安全隐患。例如：依托和信创天云桌面，可实现对医疗环境中的终端、网络、服务器的统一安全实时管理。

医院应尽早建立网络安全专业团队，定期对院内不同信息权限等级的人员进行安全培训及应急演练，提升团队安全意识和风险应对能力。

五、距离“等保2.0”实施还有19天，医院该做哪些准备？

2019年5月13日下午，等保2.0正式发布，并将于2019年12月1日正式实施。在“等保2.0”新标准中，每一级除通用要求外，均还新增了云计算安全、移动互联安全、物联网安全、工业控制系统安全和大数据安全这5个扩展要求，以应对新兴技术安全需求。

医疗行业的各位同仁如何解读“等保2.0”标准，映射到医院场景下，该如何在现有基础上做进一步的升级改造呢？下一期内容，敬请期待。